Seite wählen
Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnungen von Telefongesprächen nach der DS-GVO und deren Zulässigkeit.

Aufzeichnung des Telefonats als Beweismittel

Häufig fragen mich Mandanten, ob es nach der neuen Datenschutzgrundverordnung (DS-GVO) zulässig ist, wenn jemand ein Telefongespräch aufnehmen möchte. Meist kommt diese Frage dann auf, wenn jemand bei einem Vertragspartner bsp. Internetanbieter anruft und dort gefragt wird, ob zu Qualitätszwecken das Gespräch aufgenommen werden kann. Außerdem schließen manche Mandanten Verträge per Telefon ab. Es stellt sich also die Frage, wann das nach der DS-GVO zulässig ist.

Beschluss der DSK Datenschutzkonferenz vom 23.03.2018

Die Datenschutzkonferenz (DSK), deren Beschlüsse eine sehr gute Orientierung für die spätere behördliche Entscheidung darstellen, hat hierzu folgendes veröffentlicht:

„Die Aufzeichnung von Telefongesprächen ist datenschutzrechtlich in aller Regel nur mit Einwilligung auch des externen Gesprächspartners zulässig. Eine datenschutzrechtlich wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DS-GVO setzt voraus, dass der externe Gesprächspartner vor Beginn der beabsichtigten Aufzeichnung gefragt wird, ob er mit der Aufzeichnung einverstanden ist, und falls er einverstanden ist, gebeten wird, sein Einverständnis beispielsweise durch Aussprechen eines „Ja“ oder durch eine aktive bestätigende Handlung (etwa durch das Betätigen einer Telefontaste) eindeutig zum Ausdruck zu bringen. Diese Einwilligung umfasst nicht eine biometrische Auswertung. Die bloße Einräumung einer Widerspruchsmöglichkeit und das anschließende Fortsetzen des Telefonats stellen keine datenschutzrechtlich wirksame Einwilligung im Sinne der DS-GVO dar. Da der datenschutzrechtlich Verantwortliche nachweisen können muss, dass die betroffene Person eine wirksame Einwilligung erteilt hat (Art. 7 Abs. 1 DS-GVO), muss er auch nachweisen können, dass die betroffene Person die Einwilligung „in informierter Weise“ abgegeben hat (vgl. Art. 4 Nr. 11 DS-GVO).“

Vorsicht bei Aufzeichnung von Telefongesprächen

Durch die DS-GVO hat sich also letztlich nichts geändert. Eine Einwilligung ist nach wie vor erforderlich. Diese muss auch „nachgewiesen“ bzw. „dokumentiert“ werden. Das ist alles andere als einfach. Je nach Situation kann es mitunter erhebliche Schwierigkeiten bereiten. Soll man die Einwilligung mitaufzeichnen? Das geht erstmal nicht, da man ja nicht weiß, ob der Gesprächspartner damit einverstanden ist. Anzuraten ist, die Frage nach der Einwilligung zu wiederholen und dies dann aufzuzeichnen.

Folgen heimlicher Mitschnitt

Auf keinen Fall sollten Gespräche ohne Einwilligung des Gesprächspartners aufgezeichnet werden. Das wäre strafbar. Auf § 201 Strafgesetzbuch wird verwiesen. Wenn Sie also nicht einwilligen oder Ihr Gesprächspartner nicht einwilligt, dann wissen Sie, dass hier ein Datenschutzverstoß vorliegt. Was folgt daraus? Es können unter Umständen die Aussagen nicht in einem Gerichtsprozess verwertet werden. Es droht eine Anzeige nach §  201 StGB. Möglicherweise bestehen Unterlassungsansprüche wegen Verletzung des Persönlichkeitsrechts. Es ist äußerste Vorsicht geboten.

Für Fragen rund um den Datenschutz können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz (DS-GVO) in Frankfurt am Main

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Der ungeordnete Brexit steht vor der Tür. Was hat das Auswirkungen auf das Datenschutzrecht und Unternehmen, die mit Großbritannien handeln?

DSGVO und Großbritannien

Die Datenschutzgrundverordnung (DS-GVO) galt und gilt noch in Großbritannien. Das bedeutet erstmals, dass dort ein angemessenes Datenschutzniveau, zumindest dem Papier nach, vorgefunden werden sollte. Das bedeutet leider nicht, dass der Datenverkehr mit Deutschland deshalb ohne weiteres zulässig ist. Betroffen sind Unternehmen, die eine Niederlassung in Großbritannien haben oder Kunden in Großbritannien haben. Gleiches gilt für Unternehmer, die in UK Vertragspartner haben.

Großbritannien als unsicheres Drittland

Man mag es kaum glauben, aber im Falle eines unkontrollierten Brexit, wird Großbritannien aus datenschutzrechtlicher Sicht ein sogenanntes „unsicheres Drittland“. Das bedeutet, dass die Regeln der DS-GVO im Hinblick auf solche Länder anzuwenden sind.

Was heißt das konkret für Datenverarbeitung nach UK?

Es wird bei unsicheren Drittländer zweistufig vorgegangen. Zunächst ist zu prüfen, ob eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Danach ist zu prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt. Erst dann dürfen Daten international verarbeitet werden.

Was muss ich als EU-Unternehmer machen?

Datentransfer in Drittländern kann über eine Vielzahl von Möglichkeiten bewerkstelligt werden. Einige Möglichkeiten dabei sind mit sehr viel Aufwand verbunden, wohin andere mit weniger Aufwand. Dieser Beitrag wird aufgrund des Umfangs nicht sämtliche Möglichkeiten beleuchten, sondern nur den –aus meiner Sicht- praktischsten Weg.

Standardvertragsklauseln mit UK

Der einfachste Weg wird sein, mit den sogenannten EU- Standardvertragsklauseln zu arbeiten. Diese sind von Europäischen Union vorgegeben. Es wird ein Vertrag zwischen dem Unternehmen in Großbritannien und hiesigem Unternehmer geschlossen. In diesen Verträgen verpflichtet sich der Unternehmer aus Deutschland zu überprüfen, ob der englische Vertragspartner das Datenschutzrecht einhält. Zweckmäßigerweise sollte von dem englischen Partner verlangt werden, dass er seine Datenschutzkonformität vor Vertragsschluss nachweist.

Änderung der Datenschutzerklärung und Datenschutzhinweise

Außerdem sind die Datenschutzerklärung und die Datenschutzhinweise anzupassen. In dem Moment, wo der Brexit kommt, muss der Betroffene informiert werden, dass seine Daten in ein unsicheres Drittland übertragen werden.

Lohnt es sich abzuwarten?

In Großbritannien hat die Datenschutzgrundverordnung (DS-GVO) bislang Geltung. Das bedeute, dass eine Vielzahl von Unternehmen sich bereits „fit“ für die DS-GVO gemacht haben. Es ist aber nicht abzusehen, ob sie nach dem Brexit weiterhin gelten wird oder ein neues Datenschutzrecht geschaffen wird. Sehr wahrscheinlich ist, dass das Datenschutzniveau in UK, auch wenn es verändert werden sollte, mit dem europäischen vergleichbar sein wird. Sehr wahrscheinlich wird die EU einen Angemessenheitsbeschluss erlassen. Dann dürfte der Datentransfer zwischen EU und UK zulässig sein. Es liegt wieder einmal in der Hand der Politik. Bis also ein solcher Beschluss erlassen ist, sollten Unternehmer auf Nummer sicher gehen und entsprechend ihren Datenschutz anpassen.

Das Risiko besteht letztlich darin ein Bußgeld zu erhalten. Das sollte unter allen Umständen vermieden werden. Lesenswert ist zudem die Bekanntmachung des Bundesdatenschutzbeauftragten zu diesem Thema mit weiterführenden Hinweisen (https://www.bfdi.bund.de/DE/Europa_International/Europa/Ueberblick/EU_NoDealBrexit.html)

Anwalt Datenschutz

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 405 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt für DSGVO in Frankfurt

Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Datenschutz für Coaching und welche Mindestanforderungen der DS-GVO sind einzuhalten?

Coaching

Heutzutage bieten immer mehr Coaches ihre Dienstleistungen im Internet an. Hierbei wird eine Vielzahl von Daten untereinander ausgetauscht. Dieser Beitrag soll die Mindestanforderungen aufzeigen, welche die Datenschutzgrundverordnung (DS-GVO) vorsieht. Da die verschiedenen Geschäftsmodelle des Coachings sich teilweise deutlich voneinander unterscheiden, soll dieser Artikel nur eine erste Orientierung bieten.

Mindestanforderung für Coaching

Ich gehe davon aus, dass die Sie als Coach, eine Internetseite haben. In diesem Falle, müssen Sie folgende Mindestanforderungen der DS-GVO erfüllen:

  • Datenschutzerklärung,
  • Datenschutzhinweise,
  • Verzeichnis der Verarbeitungstätigkeiten,
  • Auftragsverarbeitungsverträge.

Datenschutzerklärung für Coaching

Immer dann, wenn Daten verarbeitet werden, muss dem Betroffenen vor Augen geführt werden, welche Daten, zu welchem Zweck, wie verarbeitet werden. Wenn also jemand eine Internetseite besucht, dann hinterlässt er üblicherweise IP-Daten. Diese werden in der Regel benötigt, damit die Webseite angezeigt werden kann. Die DS-GVO sieht nun vor, dass „bei Erhebung“ der Daten informiert werden muss. Hier kommt die Datenschutzerklärung ins Spiel. Durch eine entsprechende, rechtskonform ausgestaltete Datenschutzerklärung wird der DS-GVO Rechnung getragen. Jetzt kommt es natürlich auf Ihre individuelle Gestaltung der Internetseite an. Haben Sie beispielsweise einen Newsletter oder ein Kontaktformular, dann müssen in der Datenschutzerklärung mehr Angaben enthalten sein. Nutzt Sie auch Social Media, dann wird die Erklärung noch komplexer. Hier kommt es auf den Einzelfall an. Die Gefahr einer fehlerhaften oder unvollständigen Datenschutzerklärung ist bekannt:

Bußgeld bis 4% des Bruttoumsatzes und/oder Abmahnung.

Datenschutzhinweise für Coaching

Viele von Ihnen nutzen eine Internetseite, haben aber auch daneben andere Vertriebskanäle. So ist es nicht unüblich, dass Sie beispielsweise per Telefon oder E-Mail kontaktiert werden. Dann werden auch personenbezogene Daten verarbeitet. Es muss natürlich auch über diese Datenerhebung informiert werden. Es stellt sich die Frage, was dann der Unterschied zu der Datenschutzerklärung sein soll. Häufig wird im Bereich des Coachings über „Mund zu Mund Propaganda“ Kunden akquiriert. Dann ist es möglich, dass der Kunde gar nicht Ihre Webseite besucht, sondern kurzerhand zum Hörer greift oder Ihnen eine E-Mail schreibt und Sie kontaktiert. Spätestens, wenn Sie auf die E-Mail antworten, muss ein Hinweis auf die Datenverarbeitung erfolgen. Es reicht nicht, also nur eine Datenschutzerklärung auf der Webseite zu haben. Es muss vielmehr in solchen Fällen gewährleistet sein, dass der potentielle Geschäftspartner über die Verarbeitung der Daten informiert wird. Typischerweise wird es mit einem Link in der E-Mail Signatur gemacht. Am Telefon wäre es natürlich Quatsch, wenn man eine ganze Datenschutzerklärung vorlesen würde. Hier reicht ebenfalls der Hinweis aus, dass man sich auf der Internetseite über den Datenschutz informieren kann.

Datenschutzhinweise sind auch erforderlich, wenn in der Datenschutzerklärung auf der Internetseite, nur über die Datenverarbeitung informiert wird, die dort stattfindet. Ein Beispiel:

Es kommt häufig vor, dass auf Ihrer Seite nur Informationen über Ihre Dienstleistung enthalten sind. Es besteht weder ein Kontaktformular noch werden neben den IP-Daten sonstige Daten erhoben. Jetzt will Ihr Kunde hoffentlich Ihre Dienstleistung in Anspruch nehmen und schreibt Ihnen eine E-Mail. Es kommt dann ein Vertrag mit dem Kunden zustande. Wenn Sie jetzt nur eine Datenschutzerklärung haben, die darüber informiert, dass IP-Daten erhoben werden, dann haben Sie ein Problem. Sie kennen nämlich nunmehr die Emailadresse, den Namen, die Anschrift und ggf. die Bankverbindung des Kunden. Darüber haben Sie aber noch nicht informiert. Hier kommen die Datenschutzhinweise ins Spiel und helfen dieses Problem zu lösen. Dort wird nämlich darüber informiert, welche Daten beispielsweise für die Vertragsdurchführung erhoben werden.

Verarbeitungsverzeichnis für Coaching

Mit Erschrecken muss ich leider immer wieder feststellen, dass das Verarbeitungsverzeichnis schlicht ignoriert wird. Das Verarbeitungsverzeichnis ist kein Hexenwerk und dient dem Überblick, welche Daten, wann, wo und zu welchem Zweck verarbeitet werden. Häufig wird 1 bis 2 DIN-A4 Seiten oder eine Excel Tabelle ausreichen. Die Behörden halten hierzu Muster bereit. Ein solches Verarbeitungsverzeichnis muss jeder von Ihnen haben. Hier kommt es nicht auf den Umfang des Unternehmens oder den Umsatz an. Fehlt ein solches, dann ist ein Bußgeld sicher.

Auftragsverarbeitungsverträge

In der Regel wird die Internetseite bei einem Drittanbieter gehostet werden. Allein hierfür braucht man einen sogenannten Auftragsvearbeitungsvertrag. Werden zusätzlich Lohnbuchhaltung oder Callcenter-Dienstleistungen in Anspruch genommen, dann bedarf es eines Auftragsverarbeitungsvertrages. Gleiches gilt auch für die Inanspruchnahme von Google und Social Media Profile. Fehlt ein solcher Vertrag, dann ist ebenfalls ein Bußgeld sicher. Meine Erfahrung ist, dass die größeren Unternehmen einen eigenen Vertrag bereitstellen und wenig Verhandlungsraumspielraum einräumen.

Fazit

Letztlich werden Sie als Coach nicht umhin kommen, sich mit dem Datenschutz zu befassen. Dabei sind eine rechtssichere Gestaltung der Internetseite und eine datenschutzkonforme Handhabe des Coachings, dringend anzuraten. Sie ist je nach Grad bzw. Größe des Unternehmens mit überschaubarem Aufwand zu bewerkstelligen. Die Alternative ist mit der Gefahr eines Bußgeldverfahrens, das mit einem Bußgeld von 4 % des Bruttoumsatzes enden kann oder eine Abmahnung zu leben. Das kann ich keinem seriösen Coach empfehlen.

Anwalt für Datenschutz

Bei Fragen rund um den Datenschutz, berate ich Sie gerne. Sie können mich dazu telefonisch unter 069 59 77 80 28 oder über das Kontaktformular erreichen.

Rufen Sie an oder schreiben Sie mir. Ich freue mich auf Sie.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main

Hinweise zum Datenschutz nach DS-GVO bei Abenteuerparks und Hochseilgärten

Hinweise zum Datenschutz nach DS-GVO bei Abenteuerparks und Hochseilgärten

In dem nachfolgenden Beitrag möchte ich auf einige datenschutzrechtliche Fragen eingehen, die sich im Zusammenhang mit dem Betrieb eines Abenteuerparks oder Hochseil Garten stellen.

Datenschutzerklärung

Die meisten Betreiber nutzen eine Homepage oder Internetpräsenz. Für diesen Fall erheben sie personenbezogene Daten bzw. verarbeiten solche. Dann ist aber in jedem Fall darüber zu informieren. Praktischerweise macht man das mit einer Datenschutzerklärung. Diese sollte auch nicht versteckt im Impressum sein, sondern zweckmäßigerweise mit einem eigenständigen Reiter oder Schaltfläche hervorgehoben werden.

Teilnehmererklärung

Häufig unterschreiben die Teilnehmer eine sogenannte Teilnehmererklärung. Auf dieser findet sich der Name oder die Anschrift des Teilnehmenden. Häufig wird aber auch die Telefonnummer vermerkt. Außerdem soll bei einigen Betreiber der Teilnehmer ein Feld ankreuzen und dadurch erklären, dass er eine „Einweisung“ erhalten hat. Dadurch erhoffen sich die Betreiber natürlich später den Nachweis führen zu können, dass der Teilnehmer ordnungsgemäß in den Betrieb des Kletterparks eingewiesen wurde. Es stellt sich die Frage der datenschutzrechtlichen Zulässigkeit. Grundsätzlich können Daten erhoben werden, die zum Zwecke der Vertragsdurchführung notwendig sind. Aus meiner Sicht ist es daher unproblematisch, wenn Daten in der Teilnehmererklärung erhoben werden, die für die Einweisung benötigt werden. Diese ist aus meiner Sicht ein Teil der Vertragsdurchführung, da es um die Sicherheit des Teilnehmers geht. Rechtsprechung dazu gibt es aber noch nicht. Wichtig ist in diesem Zusammenhang der Grundsatz der Datenminimierung. So sollten sich auf diesen Formularen keine Daten finden, die nicht für die Vertragsdurchführung erforderlich sind, wie beispielsweise die religiöse Zugehörigkeit. Die Kontrollfrage sollte lauten: Brauche ich diese Daten, um den Vertrag durchzuführen oder nicht?

Informationspflichten

Wichtig ist in diesem Zusammenhang ferner, über die Verarbeitung der Daten zu informieren. Aus Praktikabilitätsgründen wird es wahrscheinlich nicht möglich sein, die gesamten Datenschutzhinweise auf der Rückseite der Teilnehmererklärung abzudrucken. In diesem Fall müsste natürlich darauf hingewiesen werden, dass sich auf der Rückseite einer Teilnehmerkennung überhaupt etwas befindet. Das Gesetz verlangt lediglich, dass man bei Erhebung der Daten informiert. Wie das dann im Einzelfall durch den Betreiber gehandhabt wird, bleibt ihm überlassen. Manche Autoren sehen einen Medienbruch als zulässig an und lassen es ausreichen, wenn auf der Teilnehmererklärung ein Link enthalten ist, der auf die Datenschutzhinweise verweist. Dieser Link sollte so einfach wie möglich gestaltet sein. Eine Rechtsprechung dazu ist aber bislang noch nicht bekannt. Andere Autoren sehen es als völlig ausreichend, wenn ein deutlich sichtbarer Aushang mit Datenschutzhinweisen neben dem Teilnehmenden aufgestellt wird und diese eben ohne große Schwierigkeiten Information darüber halten können, welche Daten von ihnen verarbeitet werden.

Achten Sie darauf, dass Verstöße gegen das Datenschutz bußgeldbewehrt sind und es deshalb erforderlich ist, sich über den Datenschutz Gedanken zu machen.

Anwalt für Datenschutz

Es stellen sich eine Vielzahl von datenschutzrechtlichen Problemen bei der Verarbeitung von Daten in Zusammenhang mit dem Betrieb von Abenteuerparks und Hochseilgärten. Wenn Sie Fragen rund um dieses Thema haben, dann können Sie mich jederzeit telefonisch unter 069 405 64 282 oder per Email unter info@rechtsanwalt-dsgvo.de erreichen. Über Ihren Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter in Frankfurt am Main

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig?

Wann ist die Videoüberwachung nach der Datenschutzgrundverordnung (DS-GVO) zulässig?

Diese Frage stellen sich viele, die eine Kamera benutzen wollen. Das Thema ist im Zuge der DS-GVO komplexer geworden und kann in der gebotenen Kürze hier nur angerissen werden. Es soll ein erster Einstieg sein. Es ist immer und stets der Einzelfall zu prüfen. Wer zunächst in das Bundesdatenschutzgesetz neue Fassung (BDSG n.F.) einen Blick riskiert, findet dort den § 4 BDSG n.F.. Dem ersten Anschein nach sieht es so aus, als hätte der Gesetzgeber eine taugliche Rechtsgrundlage für die Videoüberwachung geschaffen. Auf den zweiten Blick wird aber deutlich, dass diese Norm nicht für private Unternehmer gilt.

Fehlende Öffnungsklausel für die Videoüberwachung

Dies hat mit den Europarecht zu tun. Die DS-GVO erlaubt eine Regelung im nationalen Recht, wie es das BDSG ist, nur dann, wenn eine sogenannte Öffnungsklausel vorliegt. Das bedeutet vereinfacht, dass der europäische Gesetzgeber es dem nationalen Gesetzgeber erlaubt, weitergehende Regelungen zu treffen. Das ist gerade bei der Videoüberwachung leider nicht in der erforderlichen Form geschehen. Das bedeutet, dass ein Rückgriff auf § 4 BDSG n.F. für die Videoüberwachung durch private Unternehmer nicht möglich ist. Eine Öffnungsklausel ist nur für die Art. 6 Abs. 2 DS GVO lit. c) und e) vorgesehen. Das sind die Normen, die eine Datenverarbeitung bei einer rechtlichen Verpflichtung oder bei Wahrnehmung von Aufgaben im öffentlichen Interesse, ermöglichen. Eine rechtliche Verpflichtung zur Videoüberwachung für private Unternehmer wird wohl kaum zu konstruieren sein. Das Ergebnis ist, dass das Bundesdatenschutzgesetz BDSG im nicht-öffentlichen Bereich nicht anwendbar sein wird.

Ausweg über Art. 6 Absatz 1f DS GVO

Deswegen wird in der Literatur bislang die Ansicht vertreten, dass die Verarbeitung personenbezogener Daten über den Art. 6 Absatz 1f möglich sein wird. Danach hat eine Abwägung zwischen dem Interesse an der Datenverarbeitung und dem Grad der Betroffenheit durch die Datenverarbeitung stattzufinden. Hierbei muss auch beachtet werden, dass bei einer Rechtfertigung über die Rechtsgrundlage des Artikel 6f DS-GVO diese Interessenabwägung in den Informationspflichten gehört und dort wiedergegeben sein muss. Genauer heißt das, dass die Abwägung in der Datenschutzerklärung enthalten sein muss. Näheres zu den Informationspflichten bei der Videoüberwachung werde ich in einem separaten Beitrag erläutern.

Wie einleitend dargestellt muss der Einzelfall genau unter die Lupe genommen werden, um die Zulässigkeit der Videoüberwachung klären zu können.

Anwalt für Datenschutz

Bei Fragen rund um die Videoüberwachung können Sie mich gerne unter der Telefonnummer 069 406 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen. Ich freue mich über Ihren Anruf oder Ihre Nachricht.

Ihr Anwalt und TÜV-zertifizierter Datenschutzbeauftragter  in Frankfurt am Main